Группа северокорейских хакеров Lazarus снова на слуху – теперь они перешли от разовых атак к долгосрочному стратегическому внедрению в цепочку поставок ПО. Согласно отчетуSecurityScorecard, злоумышленники реализуют операцию Phantom Circuit, маскируя вредоносный код в доверенном программном обеспечении. Это позволяет незаметно получать доступ к данным разработчиков в фоновом режиме.
Кампанияпроходила в несколько волн. В ноябре 2024 года атака затронула 181 разработчика, в основном в технологическом секторе Европы. В декабре число жертв увеличилось до 1 225, включая 284 специалиста из Индии и 21 из Бразилии. В январе 2025 года количество пораженных устройств достигло 233, из которых 110 приходилось на индийский ИТ-сектор.
Основная цель – разработчики криптовалютных приложений, технологические компании и создатели открытого ПО. Метод атаки заключался в том, что Lazarus клонировала популярные open-source проекты и добавляла в них бэкдоры. Среди зараженных репозиториев обнаружены Codementor, CoinProperty, Web3 E-Store, а также менеджеры паролей на Python и другие приложения, связанные с криптовалютами и Web3.
После загрузки и использования вредоносного форка на компьютере разработчика активировался бэкдор, который позволял хакерам получать удаленный доступ, извлекать данные и передавать их в Северную Корею. Такой подход демонстрирует изменение тактики Lazarus Group разовых атак к долгосрочному стратегическому внедрению в цепочку поставок ПО.
Украденные данные включают учетные записи, токены аутентификации и пароли. Такие данные могут использоваться не только для последующих атак, но и для разведки в интересах правительства КНДР. По данным расследования, Lazarus перенаправляют украденную информацию на Dropbox, что затрудняет обнаружение и блокировку утечек.
Особенность атаки в том, что вредоносный код распространяется через GitLab – популярную облачную платформу для совместной разработки ПО. Это позволяет злоумышленникам внедрять вредоносные обновления, которые разработчики устанавливают автоматически, доверяя источнику. При этом, чтобы замаскировать свою активность, Lazarus использует VPN и промежуточные прокси-серверы, создавая ложное впечатление, что атака исходит из других стран.
Многоуровневая система маскировки Lazarus (
SecurityScorecard использует мощные аналитические инструменты и большие объемы данных для обеспечения точности и актуальности своих оценок. Компания обслуживает широкий спектр клиентов, включая крупные корпорации, государственные учреждения и небольшие предприятия, помогая им оценить и улучшить свою кибербезопасность.